Conditions de correspondance du filtre de pare-feu pour le trafic VPLS

Dans l’instruction du terme de filtre VPLS, vous spécifiez les conditions auxquelles le paquet doit correspondre pour l’action de l’instruction fromthen à exécuter. Toutes les conditions de l’instruction doivent correspondre pour l’action from à entreprendre. L’ordre dans lequel vous spécifiez les conditions de correspondance n’a pas d’importance, car un paquet doit répondre à toutes les conditions d’un terme pour qu’une correspondance se produise.

Si vous spécifiez aucune condition de correspondance dans un terme, ce terme correspond à tous les paquets.

Une condition individuelle dans une instruction peut contenir une from liste de valeurs. Par exemple, vous pouvez spécifier des plages numériques. Vous pouvez également spécifier plusieurs adresses source ou adresses de destination. Lorsqu’une condition définit une liste de valeurs, une correspondance se produit si l’une des valeurs de la liste correspond au paquet.

Les conditions individuelles d’une from déclaration peuvent être annulées. Lorsque vous annulez une condition, vous définissez une incompatibilité explicite. Par exemple, la condition de correspondance annulée pour forwarding-class est forwarding-class-except. Si un paquet correspond à une condition niée, il est immédiatement considéré comme ne correspondant pas à l’instruction, et le terme suivant dans le filtre est évalué, s’il from y en a un. S’il n’y a plus de termes, le paquet est rejeté.

Vous pouvez configurer un filtre de pare-feu avec des conditions de correspondance pour le trafic VPLS (Virtual Private LAN Service) (family vpls). Tableau 1 décrit ce que match-conditions vous pouvez configurer au niveau de la [edit firewall family vpls filter filter-name term term-name from] hiérarchie.

REMARQUE :

Toutes les conditions de correspondance pour le trafic VPLS ne sont pas prises en charge sur toutes les plates-formes de routage ou de commutation. Un certain nombre de conditions de correspondance pour le trafic VPLS sont prises en charge uniquement sur les plates-formes de routage universelles 5G MX Series.

Dans la documentation VPLS, le mot routeur est utilisé pour désigner tout appareil fournissant des fonctions de routage.

Tableau 1 : Conditions de correspondance du filtre de pare-feu pour le trafic VPLS
Condition de correspondance	Description
`destination-mac-address address`	Faites correspondre l’adresse MAC (Media Access Control) de destination d’un paquet VPLS.
`destination-port number`	(Routeurs MX Series et commutateurs EX Series uniquement) Faites correspondre le champ Port de destination UDP ou TCP. Vous ne pouvez pas spécifier à la fois les conditions de correspondance `port` et `destination-port` dans le même terme. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : `afs`( 1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), `bgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntp` (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), `whotalkradacctprinterpptppop3radiusripsockssnppsshsnmptrapsunrpcsnmpsyslogtacacssmtprkinittelnettftptacacs-dstimed` (513) ou `xdmcp` (177).
`destination-port-except number`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne pas correspondre dans le champ Port de destination TCP ou UDP. Vous ne pouvez pas spécifier à la fois les conditions de correspondance `port` et `destination-port` dans le même terme.
`destination-prefix-list name`	(Routeurs ACX Series, routeurs MX Series et commutateurs EX Series uniquement) Faites correspondre les préfixes de destination dans la liste spécifiée. Spécifiez le nom d’une liste de préfixes définie au niveau de la `[edit policy-options prefix-list prefix-list-name`hiérarchie ]. REMARQUE : Les listes de préfixes VPLS ne prennent en charge que les adresses IPv4. Les adresses IPv6 incluses dans une liste de préfixes VPLS seront ignorées.
`destination-prefix-list name except`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne pas faire correspondre les préfixes de destination dans la liste spécifiée. Pour plus d’informations, consultez la condition de `destination-prefix-list` correspondance.
`dscp number`	(Routeurs MX Series et commutateurs EX Series uniquement) Correspond au DSCP (Differentiated Services Code Point). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus significatifs de cet octet forment le DSCP. Pour plus d’informations, consultez Comprendre comment les classificateurs d’agrégation de comportement hiérarchisent le trafic approuvé. Vous pouvez spécifier une valeur numérique à partir de `0` .`63` Pour spécifier la valeur sous forme hexadécimale, incluez-la `0x` comme préfixe. Pour spécifier la valeur sous forme binaire, incluez-la `b` comme préfixe. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : La RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code : `ef`(46). La RFC 2597, Assured Forwarding PHB Group, définit 4 classes, avec 3 précédences d’abandon dans chaque classe, pour un total de 12 points de code : `af11`( 10), (12), (14), `af12af13` `af21`( 18), (20) et `af23` (22), `af22` `af31`( 26), (28) et `af33` (30), `af32` `af41`( 34), `af42` (36) et (38) `af43`
`dscp-except number`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne pas correspondre sur le DSCP. Pour plus de détails, voir la condition de `dscp` correspondance.
`ether-type values`	Faites correspondre le champ IEEE 802.3 Length/EtherType de 2 octets à la valeur ou à la liste de valeurs spécifiée. Vous pouvez spécifier des valeurs décimales ou hexadécimales comprises entre 0 et 65535 (0xFFFF). Une valeur comprise entre 0 et 1500 (0x05DC) spécifie la longueur d’une trame Ethernet version 1. Une valeur comprise entre 1536 (0x0600) et 65535 spécifie le type Ethertype (nature du protocole client MAC) d’une trame Ethernet version 2. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs hexadécimales sont également répertoriées) : `aarp`( 0x80F3), (0x809B), (0x0806), (0x0800), (0x86DD), (0x8848), (0x8847), (0x8902), (0x880B), (0x8863), `pppoe-sessionpppipv4ipv6arpappletalkmpls-unicastoammpls-multicastpppoe-discovery` (0x8864) ou `sna` (0x80D5).
`ether-type-except values`	Ne faites pas correspondre le champ Length/EtherType de 2 octets à la valeur ou à la liste de valeurs spécifiées. Pour plus d’informations sur la spécification de , reportez-vous à la `values`condition de `ether-type` correspondance.
`flexible-match-mask` `value`	`bit-length`	À partir de Junos OS 14.2, les filtres de décalage flexibles sont pris en charge dans les configurations de hiérarchie de pare-feu. Longueur des données à mettre en correspondance en bits, non nécessaire pour l’entrée de chaîne (0..128)
	`bit-offset`	Décalage binaire après le décalage (match-start + octet) (0..7)
	`byte-offset`	Décalage d’octets après le point de départ de la correspondance
	`flexible-mask-name`	Sélectionner une correspondance flexible à partir d’un champ de modèle prédéfini
	`mask-in-hex`	Masquer les bits dans les données de paquet à mettre en correspondance
	`match-start`	Point de départ à faire correspondre dans le paquet
	`prefix`	Données/chaîne de valeur à mettre en correspondance

`flexible-match-range` `value`	`bit-length`	Longueur des données à apparier en bits (0..32)
	`bit-offset`	Décalage binaire après le décalage (match-start + octet) (0..7)
	`byte-offset`	Décalage d’octets après le point de départ de la correspondance
	`flexible-range-name`	Sélectionner une correspondance flexible à partir d’un champ de modèle prédéfini
	`match-start`	Point de départ à faire correspondre dans le paquet
	`range`	Plage de valeurs à faire correspondre
	`range-except`	Ne correspond pas à cette plage de valeurs

`forwarding-class class`	Faites correspondre la classe de transfert. Spécifiez `assured-forwarding`, , `expedited-forwardingbest-effort`, ou `network-control`.
`forwarding-class-except class`	Ne correspond pas à la classe de transfert. Pour plus de détails, voir la condition de `forwarding-class` correspondance.
`icmp-code message-code`	Faites correspondre le champ Code de message ICMP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la `next-header icmp` condition de correspondance ou `next-header icmp6` dans le même terme. Si vous configurez cette condition de correspondance, vous devez également configurer la condition de `icmp-type message-type` correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés selon le type ICMP auquel ils sont associés : problème_paramètre : `ip6-header-bad`( 0), (1), `unrecognized-next-headerunrecognized-option` (2) dépassement de temps : `ttl-eq-zero-during-reassembly`( 1), `ttl-eq-zero-during-transit` (0) destination-inaccessible : `address-unreachable`( 3), (1), (0), `administratively-prohibitedno-route-to-destinationport-unreachable` (4)
`icmp-code-except message-code`	Ne correspond pas au champ Code de message ICMP. Pour plus de détails, voir la condition de `icmp-code` correspondance.
`icmp-code number`	(Routeurs MX Series et commutateurs EX Series uniquement) Faites correspondre le champ Code de message ICMP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la `ip-protocol icmp` condition de correspondance ou `ip-protocol icmp6` dans le même terme. Si vous configurez cette condition de correspondance, vous devez également configurer la condition de `icmp-type message-type` correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés selon le type ICMP auquel ils sont associés : problème_paramètre : `ip6-header-bad`( 0), (1), `unrecognized-next-headerunrecognized-option` (2) dépassement de temps : `ttl-eq-zero-during-reassembly`( 1), `ttl-eq-zero-during-transit` (0) destination-inaccessible : `address-unreachable`( 3), (1), (0), `administratively-prohibitedno-route-to-destinationport-unreachable` (4)
`icmp-code-except number`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne pas correspondre dans le champ Code ICMP. Pour plus de détails, voir la condition de `icmp-code` correspondance.
`interface interface-name`	Interface sur laquelle le paquet a été reçu. Vous pouvez configurer une condition de correspondance qui fait correspondre les paquets en fonction de l’interface sur laquelle ils ont été reçus. REMARQUE : Si vous configurez cette condition de correspondance avec une interface qui n’existe pas, le terme ne correspond à aucun paquet.
`interface-group group-number`	Faites correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces spécifié ou à l’ensemble de groupes d’interfaces. Pour `group-number`, spécifiez une valeur unique ou une plage de valeurs comprise entre `0` .`255` Pour affecter une interface logique à un groupe `group-number`d’interfaces, spécifiez le au niveau de `group-number` la `[interfaces interface-name unit number family family filter group]` hiérarchie. Pour plus d’informations, consultez Vue d’ensemble du filtrage des paquets reçus sur un ensemble de groupes d’interfaces. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les FPC T4000 de type 5.
`interface-group-except group-name`	Ne faites pas correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifiés. Pour plus de détails, voir la condition de `interface-group` correspondance. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les FPC T4000 de type 5.
`interface-set interface-set-name`	Faites correspondre l’interface sur laquelle le paquet a été reçu à l’ensemble d’interfaces spécifié. Pour définir un jeu d’interfaces , incluez l’instruction `interface-set` au niveau de la `[edit firewall]` hiérarchie. Pour plus d’informations, reportez-vous à la section Présentation du filtrage des paquets reçus sur un jeu d’interfaces.
`ip-address address`	(routeurs MX Series et commutateurs EX Series uniquement) Adresse 32 bits prenant en charge la syntaxe standard pour les adresses IPv4. Notez que lors de l’utilisation de ce terme, la condition de correspondance ether-type IPv4 doit être définie sur le même terme.
`ip-destination-address address`	(Routeurs MX Series et commutateurs EX Series uniquement) Adresse 32 bits correspondant à l’adresse de nud de destination finale du paquet. Notez que lors de l’utilisation de ce terme, la condition de correspondance ether-type IPv4 doit être définie sur le même terme.
`ip-precedence ip-precedence-field`	(Routeurs MX Series et commutateurs EX Series uniquement) Champ de priorité IP. À la place de la valeur de champ numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : `critical-ecp`( 0xa0), (0x60), (0x80), (0x40), (0xc0), `flashinternet-controlimmediatenet-controlflash-override` (0xe0), `priority` (0x20) ou `routine` (0x00).
`ip-precedence-except ip-precedence-field`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne pas correspondre dans le champ Priorité IP.
`ip-protocol number`	(Routeurs MX Series et commutateurs EX Series uniquement) Champ de protocole IP.
`ip-protocol-except number`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne pas correspondre dans le champ Protocole IP.
`ip-source-address address`	(Routeurs MX Series et commutateurs EX Series uniquement) Adresse IP du nœud source qui envoie le paquet. Notez que lors de l’utilisation de ce terme, la condition de correspondance ether-type IPv4 doit également être définie sur le même terme.
`ipv6-source-prefix-list` `named-list`	(MX Series uniquement) Faites correspondre l’adresse source IPv6 dans un `named-list`fichier .
`ipv6-address` `address`	(MX Series et EX9200 uniquement) Adresse 128 bits prenant en charge la syntaxe standard pour les adresses IPv6. À partir de Junos OS 14.2, les critères de correspondance IPv6 des ponts de la famille de pare-feu sont pris en charge sur les commutateurs MX Series et EX9200.
`ipv6-destination-address` `address`	((MX Series et EX9200 uniquement) Adresse 128 bits correspondant à l’adresse de nœud de destination finale de ce paquet. Notez que lors de l’utilisation de ce terme, la condition `ether-type IPv6` de correspondance doit être définie sur le même terme.
`ipv6-destination-prefix-list` `named-list`	(MX Series uniquement) Faites correspondre les adresses de destination IPv6 dans un `named-list`fichier .
`ipv6-next-header` `protocol`	(MX Series uniquement) Correspond au type de protocole d’en-tête suivant IPv6. La liste suivante indique les valeurs prises en charge pour `protocol`: `ah`—En-tête d’authentification de la sécurité IP `dstopts`—Options de destination IPv6 `egp`—Protocole de passerelle extérieure `esp`—Charge utile de sécurité encapsulée IPSec `fragment`—En-tête de fragment IPv6 `gre`: encapsulation de routage générique `hop-by-hop`—Options IPv6 saut par saut `icmp`—Protocole de message de contrôle Internet `icmp6`—Internet Control Message Protocol version 6 `igmp`—Protocole de gestion de groupe Internet `ipip`—IP dans IP `ipv6`—IPv6 dans IP `no-next-header`—IPv6 sans en-tête suivant `ospf`—Open Shortest Path First `pim`—Multicast indépendant du protocole `routing`—En-tête de routage IPv6 `rsvp`—Protocole de réservation des ressources `sctp`—Protocole de transmission de contrôle de flux `tcp`—Protocole de contrôle de transmission `udp`—Protocole de datagramme utilisateur `vrrp`—Protocole de redondance de routeur virtuel
`ipv6-next-header-except` `protocol`	(MX Series uniquement) Ne correspond pas au type de protocole d’en-tête suivant IPv6.
`ipv6-payload-protocol` `protocol`	(MX Series uniquement) Correspond au type de protocole de charge utile IPv6. La liste suivante indique les valeurs prises en charge pour `protocol`: `ah`—En-tête d’authentification de la sécurité IP `dstopts`—Options de destination IPv6 `egp`—Protocole de passerelle extérieure `esp`—Charge utile de sécurité encapsulée IPSec `fragment`—En-tête de fragment IPv6 `gre`: encapsulation de routage générique `hop-by-hop`—Options IPv6 saut par saut `icmp`—Protocole de message de contrôle Internet `icmp6`—Internet Control Message Protocol version 6 `igmp`—Protocole de gestion de groupe Internet `ipip`—IP dans IP `ipv6`—IPv6 dans IP `no-next-header`—IPv6 sans en-tête suivant `ospf`—Open Shortest Path First `pim`—Multicast indépendant du protocole `routing`—En-tête de routage IPv6 `rsvp`—Protocole de réservation des ressources `sctp`—Protocole de transmission de contrôle de flux `tcp`—Protocole de contrôle de transmission `udp`—Protocole de datagramme utilisateur `vrrp`—Protocole de redondance de routeur virtuel
`ipv6-payload-protocol-except` `protocol`	(MX Series uniquement) Ne correspond pas au protocole de charge utile IPv6.
`ipv6-prefix-list` `named-list`	(MX Series uniquement) Faites correspondre l’adresse IPv6 dans un `named-list`fichier .
`ipv6-source-address` `address`	(MX Series uniquement) Adresse 128 bits correspondant à l’adresse du nœud source d’origine de ce paquet.
`ipv6-traffic-class` `number`	(MX Series uniquement) DSCP (Differentiated Services Code Point). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus significatifs de cet octet forment le DSCP. Pour plus d’informations, consultez Comprendre comment les classificateurs d’agrégation de comportement donnent la priorité au trafic de confiance. Vous pouvez spécifier une valeur numérique à partir de `0` .`63` Pour spécifier la valeur sous forme hexadécimale, incluez-la `0x` comme préfixe. Pour spécifier la valeur sous forme binaire, incluez-la `b` comme préfixe. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : La RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code : `ef`(46). La RFC 2597, Assured Forwarding PHB Group, définit 4 classes, avec 3 précédences d’abandon dans chaque classe, pour un total de 12 points de code : `af11`( 10), (12), (14), `af12af13` `af21`( 18), (20) et `af23` (22), `af22` `af31`( 26), (28) et `af33` (30), `af32` `af41`( 34), `af42` (36) et (38) `af43`
`ipv6-traffic-class-except` `number`	Ne correspond pas au DSCP `number`.
`learn-vlan-1p-priority number`	(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Correspondance sur les bits de priorité VLAN appris IEEE 802.1p dans la balise VLAN fournisseur (la seule balise dans une trame à balise unique avec des balises VLAN 802.1Q ou la balise externe dans une trame à double balise avec des balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs de à travers `0` .`7` Comparer avec la condition de `user-vlan-1p-priority` correspondance. REMARQUE : Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et le routeur M320.
`learn-vlan-1p-priority-except number`	(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Ne pas correspondre sur les bits de priorité VLAN appris IEEE 802.1p. Pour plus de détails, voir la condition de `learn-vlan-1p-priority` correspondance. REMARQUE : Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et le routeur M320.
`learn-vlan-dei`	(Routeurs MX Series et commutateurs EX Series uniquement) Faites correspondre le bit de l’indicateur d’éligibilité à la perte (DEI) de l’ID VLAN de l’utilisateur.
`learn-vlan-dei-excep`t	(Routeurs MX Series et commutateurs EX Series uniquement) Ne correspond pas au bit DEI de l’ID VLAN de l’utilisateur.
`learn-vlan-id number`	(Routeurs MX Series et commutateurs EX Series uniquement) Identificateur VLAN utilisé pour l’apprentissage MAC.
`learn-vlan-id-except number`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne correspond pas à l’identificateur VLAN utilisé pour l’apprentissage MAC.
`loss-priority level`	Niveau de priorité de perte de paquets (PLP). Spécifiez un ou plusieurs niveaux : `low`, , `medium-lowmedium-high`, ou `high`. Pris en charge sur les routeurs M120 et M320 ; Routeurs M7i et M10i avec CFEB-E (Enhanced CFEB) ; et routeurs MX Series. Pour le trafic IP sur les routeurs M320, MX Series et T Series avec des concentrateurs PIC flexibles (FPC) II améliorés et des commutateurs EX Series, vous devez inclure l’instruction au niveau de la `[edit class-of-service]` hiérarchie pour valider une configuration PLP avec l’un `tri-color` des quatre niveaux spécifiés. Si l’instruction n’est `tri-color` pas activée, vous ne pouvez configurer que les `high` niveaux et `low` . Cela s’applique à toutes les familles de protocoles. Pour plus d’informations sur l’instruction et sur l’utilisation de classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Comprendre comment les classes de transfert affectent des classes aux files d’attente`tri-color` de sortie.
`loss-priority-except level`	Ne correspond pas au niveau de priorité de perte de paquets. Spécifiez un ou plusieurs niveaux : `low`, , `medium-lowmedium-high`, ou `high`. Pour plus d’informations sur l’utilisation des classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Comprendre comment les classificateurs d’agrégation de comportement donnent la priorité au trafic de confiance.
`port number`	(Routeurs MX Series et commutateurs EX Series uniquement) Port source ou de destination TCP ou UDP. Vous ne pouvez pas spécifier à la fois la condition de correspondance et la condition de `port` correspondance ou `source-port` dans le `destination-port` même terme.
`port-except number`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne correspond pas sur le port source ou de destination TCP ou UDP. Vous ne pouvez pas spécifier à la fois la condition de correspondance et la condition de `port` correspondance ou `source-port` dans le `destination-port` même terme.
`prefix-list name`	(Routeurs MX Series et commutateurs EX Series uniquement) Faites correspondre les préfixes de destination ou de source dans la liste spécifiée. Spécifiez le nom d’une liste de préfixes définie au niveau de la `[edit policy-options prefix-list prefix-list-name`hiérarchie ]. REMARQUE : Les listes de préfixes VPLS ne prennent en charge que les adresses IPV4. Les adresses IPV6 incluses dans une liste de préfixes VPLS seront ignorées.
`prefix-list name except`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne correspond pas aux préfixes de destination ou de source dans la liste spécifiée. Pour plus d’informations, consultez la condition de `destination-prefix-list` correspondance.
`source-mac-address address`	Adresse MAC source d’un paquet VPLS.
`source-port number`	(Routeurs MX Series et commutateurs EX Series uniquement) Champ de port source TCP ou UDP. Vous ne pouvez pas spécifier les `port` conditions de correspondance et `source-port` dans le même terme.
`source-port-except number`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne pas correspondre dans le champ Port source TCP ou UDP. Vous ne pouvez pas spécifier les `port` conditions de correspondance et `source-port` dans le même terme.
`source-prefix-list name`	(Routeurs ACX Series, routeurs MX Series et commutateurs EX Series uniquement) Faites correspondre les préfixes source dans la liste de préfixes spécifiée. Spécifiez un nom de liste de préfixes défini au niveau de la `[edit policy-options prefix-list prefix-list-name]` hiérarchie. REMARQUE : Les listes de préfixes VPLS ne prennent en charge que les adresses IPV4. Les adresses IPV6 incluses dans une liste de préfixes VPLS seront ignorées.
`source-prefix-list name except`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne correspond pas aux préfixes source dans la liste de préfixes spécifiée. Pour plus d’informations, consultez la condition de `source-prefix-list` correspondance.
`tcp-flags flags`	Faites correspondre un ou plusieurs des 6 bits d’ordre inférieur dans le champ d’indicateurs TCP 8 bits de l’en-tête TCP. Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimales suivants : `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial. Vous pouvez enchaîner plusieurs drapeaux à l’aide des opérateurs logiques de champ de bits. Si vous configurez cette condition de correspondance pour le trafic IPv6, nous vous recommandons de configurer également la condition de `next-header tcp` correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur le port.
`traffic-type type-name`	(Routeurs MX Series et commutateurs EX Series uniquement) Type de trafic. Spécifiez `broadcast`, , `unknown-unicastmulticast`, ou `known-unicast`.
`traffic-type-except type-name`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne pas correspondre sur le type de trafic. Spécifiez `broadcast`, , `unknown-unicastmulticast`, ou `known-unicast`.
`user-vlan-1p-priority number`	(routeurs MX Series, routeur M320 et commutateurs EX Series uniquement) Correspondance sur les bits de priorité utilisateur IEEE 802.1p dans la balise VLAN client (la balise interne dans une trame à double balise avec des balises VLAN 802.1Q). Spécifiez une ou plusieurs valeurs de à travers `0` .`7` Comparer avec la condition de `learn-vlan-1p-priority` correspondance. REMARQUE : Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et le routeur M320.
`user-vlan-1p-priority-except number`	(Routeurs MX Series, rouer M320 et commutateurs EX Series uniquement) Ne pas correspondre sur les bits de priorité utilisateur IEEE 802.1p. Pour plus de détails, voir la condition de `user-vlan-1p-priority` correspondance. REMARQUE : Cette condition de correspondance prend en charge la présence d’un mot de contrôle pour les routeurs MX Series et le routeur M320.
`user-vlan-id number`	(Routeurs MX Series et commutateurs EX Series uniquement) Faites correspondre le premier identifiant VLAN qui fait partie de la charge utile.
`user-vlan-id-except number`	(Routeurs MX Series et commutateurs EX Series uniquement) Ne correspond pas au premier identifiant VLAN faisant partie de la charge utile.
`vlan-ether-type value`	Champ de type VLAN Ethernet d’un paquet VPLS.
`vlan-ether-type-except value`	Ne pas correspondre dans le champ Type VLAN Ethernet d’un paquet VPLS.

REMARQUE :

La vérification de validation génère une erreur si traffic-type known-unicast ou traffic-type unknown-unicast n’est pas prise en charge.

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version

Description

14.2

À partir de Junos OS 14.2, les filtres de décalage flexibles sont pris en charge dans les configurations de hiérarchie de pare-feu.

14.2

À partir de Junos OS 14.2, les critères de correspondance IPv6 des ponts de la famille de pare-feu sont pris en charge sur les commutateurs MX Series et EX9200.

Conditions de correspondance du filtre de pare-feu pour le trafic VPLS

Rubriques connexes

Tableau de l'historique des modifications